Gepubliceerd: Vrijdag 14 december 2007
Door een lek in de website van zorgverzekeraar CZ waren sofinummers en bankgegevens van 55.000 potentiële klanten eenvoudig in te zien. CZ erkent de fout.
Toon volledig artikel
Gelukkig allemaal mensen die 'niets te verbergen hadden'. Dus dan maakt het niks uit... toch? Er is tenslotte geen enkel geval bekend waarbij er misbruik werd gemaakt van persoonsgegevens.
Gelukkig allemaal mensen die 'niets te verbergen hadden'. Dus dan maakt het niks uit... toch? Er is tenslotte geen enkel geval bekend waarbij er misbruik werd gemaakt van persoonsgegevens.
Waar haal je die quote vandaan? Klinkt als een troll!
Voorzover ik kan zien heeft CZ niet iets dergelijks gezegd. Wat zij doen, toegeven dat ze fout zaten, dat maakt de fout niet ongedaan, maar laat wel zien dat ze hun verantwoordelijkheid nemen.
Die quote komt niet uit dit artikel. 'Ik heb niets te verbergen' is een slogan die altijd wordt teruggevonden onder teksten die gaan over bedreiging van onze privacy. Het enige wat ik ermee wil illustreren is dat je op moet passen met het overal maar invullen van je persoonlijke data.
In dit geval wil ik de fout ook eigenlijk niet bij CZ leggen, maar bij de gebruikers die blind vertrouwen in de techniek. Niet dat er echt sprake is van 'schuld' maar als je dit wil voorkomen moet je bij jezelf beginnen: zorg dat je gegevens niet in mogelijk kwetsbare systemen liggen opgeslagen.
Is waar maar in deze tijd had je toch graag probleemloos via het web je formuliertjes ingevuld. Blijkbaar kan dat dus niet gezien de blunders die met regelmaat worden begaan. Een recente had met een lek bij de marine te maken, werd ook niet echt vlot opgepakt.
Juist. Tuurlijk heb je een heel goed punt als je zegt dat dit soort dingen niet mogen gebeuren en dat de IT afdeling en het bedrijf direct aansprakelijk zijn voor deze fout. Maar ja: als het voetgangerslicht op groen staat en er komt een hardrijdende auto die duidelijk niet van plan is te stoppen aan, kies ik toch voor veiligheid in plaats van gerechtigheid. Als ik oversteek en die auto rijdt mij aan, lig ik met al mijn gelijk toch in het ziekenhuis.
Vandaar mijn 'oproep' om de verantwoordelijkheid bij de enige partij te leggen die je zeker kunt vertrouwen: jezelf.
Klassiek is het langzame reageren van de ICT afdeling van een dergelijk groot bedrijf.
Een week om een dergelijk lek in je website te dichten ?
Kom op zeg.
Bij dergelijke cruciale gegevenslekken waarbij je gegevens van duizenden van je klanten worden blootgesteld moet je gewoon binnen een paar uur na melding die gegevens van de site af hebben en de oorzaak binnen een dag gepatched hebben.
Desnoods maar even een deel van je sites functionaliteit uitschakelen.
"Stommer dan dit had nauwelijks gekund"
Wat was precies het lek?
Geen autenticatie? Of stond er bijv. ?id=<nummer> in de url, welke na aanpassing toegang geeft tot de info van andere klanten?
als je de bron opvraagt van de inlogpagina kun je zien dat het login systeem is gebaseerd is op XML-templates i.c.m. javascript
als je die XML-templates bekijkt dan kun je al een hoop 'logica' terugvinden wat betreft het inloggen, zoals wat er geparsed wordt en welke parameters er gezet worden
als ik CZ was zou ik het hele XML/JS login-systeem verplaatsen naar de prullenbak
Ben ik de enige die vind dat dit artikel een nogal suggestieve titel heeft?
Als er 'gegevens op straat liggen' dan ligt er iets direct voor het oprapen. Dat is hier helemaal niet aan de orde.
Als er 'gegevens op straat liggen' dan ligt er iets direct voor het oprapen. Dat is hier helemaal niet aan de orde.
Als het heel eenvoudig is om gegevens van 50000 mensen te downloaden, dan betekent dat dus dat de gegevens op straat liggen. Wat dit artikel en de comments laat zien is dat dat ook het geval was.
Ja, oke, natuurlijk niet voor de 80 jarige opa die niet eens weet hoe je een mobieltje moet opnemen.
Dat er fouten gemaakt worden is vervelend maar dat zo'n bedrijf vervolgens willens en wetens de site online laat staan is ontoelaatbaar. Daarmee geven ze duidelijk te kennen dat ze hun winst belangrijker vinden dan de privacy van hun klanten.
Fouten maken is menselijk; de initiele fout is typisch een gevalletje 'jammer maar helaas'. De volgende fout echter (het online laten staan) moet wat mij betreft zeer zwaar bestraft worden zodat men de volgende keer (cz of een ander) de juiste keuze maakt.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
